Servidor de aplicaciones TS y GP

26/12/2006 - 13:35 por Sergio G. | Informe spam
Hola,

resulta que estoy montando un servidor w2003 con rol de terminal services.

Y quiero publicar tanto una aplicacion corporativa como herramientas
ofimaticas,

pero bueno, el tema es que quiero dejar el TS como una patena de tal modo
que los
terminal users solo puedan abrir dichas aplicaciones y operar con archivos
situados en unidades de red. Es decir, que no puedan hacer nada mas, ni menu
inicio (bueno solo para desconectar sesion ;D) , ni modificar escritorio,
etc etc.

entonces , primero pense modificar la GP del equipo local (gpedit.msc) pero
el tema que tambien me la aplicaba a administradores (y estos quiero si
puedan funcionar normal). Igual hay alguna manera de que no se aplique a
administradores?????????
esa seria una solucion supongo.

Y despues pense crear una UO, meter dentro ese servidor, y crearle una GPO
(mediante GPMC), quitarle herencia, forzarle, bueno, aqui ando un poco mas
pez, el caso es que no hacia na!


Bueno, seguro este tema tiene una resolucion ya mas que conocida, perdon por
mi ignorancia.

y gracias de antemano.

Preguntas similare

Leer las respuestas

#1 Javier Inglés [MS MVP]
26/12/2006 - 13:44 | Informe spam
la GPO no debe ser la local si estás en un dominio, si no que deberías tener
el server de TS en una OU dedicada para él, y sobre esa OU configurar todas
las restricciones necesarias por GPO que consideres.

A parte, en esa GPO activa el Loopback Processing:

Loopback Processing of Group Policy

http://support.microsoft.com/defaul...ct=win2000



How to Apply Group Policy Objects to Terminal Services Servers

http://support.microsoft.com/defaul...-US;260370


Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"Sergio G." escribió en el mensaje
news:%
Hola,

resulta que estoy montando un servidor w2003 con rol de terminal services.

Y quiero publicar tanto una aplicacion corporativa como herramientas
ofimaticas,

pero bueno, el tema es que quiero dejar el TS como una patena de tal modo
que los
terminal users solo puedan abrir dichas aplicaciones y operar con archivos
situados en unidades de red. Es decir, que no puedan hacer nada mas, ni
menu inicio (bueno solo para desconectar sesion ;D) , ni modificar
escritorio, etc etc.

entonces , primero pense modificar la GP del equipo local (gpedit.msc)
pero el tema que tambien me la aplicaba a administradores (y estos quiero
si puedan funcionar normal). Igual hay alguna manera de que no se aplique
a administradores?????????
esa seria una solucion supongo.

Y despues pense crear una UO, meter dentro ese servidor, y crearle una GPO
(mediante GPMC), quitarle herencia, forzarle, bueno, aqui ando un poco mas
pez, el caso es que no hacia na!


Bueno, seguro este tema tiene una resolucion ya mas que conocida, perdon
por mi ignorancia.

y gracias de antemano.



Respuesta Responder a este mensaje
#2 Sergio G.
26/12/2006 - 17:18 | Informe spam
Muchas Gracias, lo estudio ...


"Javier Inglés [MS MVP]" escribió en el mensaje
news:
la GPO no debe ser la local si estás en un dominio, si no que deberías
tener el server de TS en una OU dedicada para él, y sobre esa OU
configurar todas las restricciones necesarias por GPO que consideres.

A parte, en esa GPO activa el Loopback Processing:

Loopback Processing of Group Policy

http://support.microsoft.com/defaul...ct=win2000



How to Apply Group Policy Objects to Terminal Services Servers

http://support.microsoft.com/defaul...-US;260370


Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"Sergio G." escribió en el mensaje
news:%
Hola,

resulta que estoy montando un servidor w2003 con rol de terminal
services.

Y quiero publicar tanto una aplicacion corporativa como herramientas
ofimaticas,

pero bueno, el tema es que quiero dejar el TS como una patena de tal modo
que los
terminal users solo puedan abrir dichas aplicaciones y operar con
archivos situados en unidades de red. Es decir, que no puedan hacer nada
mas, ni menu inicio (bueno solo para desconectar sesion ;D) , ni
modificar escritorio, etc etc.

entonces , primero pense modificar la GP del equipo local (gpedit.msc)
pero el tema que tambien me la aplicaba a administradores (y estos quiero
si puedan funcionar normal). Igual hay alguna manera de que no se aplique
a administradores?????????
esa seria una solucion supongo.

Y despues pense crear una UO, meter dentro ese servidor, y crearle una
GPO (mediante GPMC), quitarle herencia, forzarle, bueno, aqui ando un
poco mas pez, el caso es que no hacia na!


Bueno, seguro este tema tiene una resolucion ya mas que conocida, perdon
por mi ignorancia.

y gracias de antemano.







Respuesta Responder a este mensaje
#3 qiiiycto
27/12/2006 - 10:56 | Informe spam
Estimado Sergio,

me he econtrado en la misma situación y, aunque quizás no sea la forma más
correcta de resolverlo, yo he aplicado los siguientes cambios:

He creado unos perfiles de usuario por departamentos (aunque finalmente he
creado un perfil por usuario), pero, perfiles obligatorios.

Un perfil obligatorio se diferencia del perfil normal en que el usuario no
puede modificar ninguno de los parámetros asociados al escritorio como:

- Iconos, impresoras, fondo de pantalla, etc...

Poder, puede modificarlo, pero cualquier cambio realizado en la sesión se
elimina automáticamente al cerrar dicha sesión.

La utilización es muy sencilla, se crea un perfil movil al que, una vez
configurado, se renombra el archivo NTUSER.DAT a NTUSER.MAN y listo.

Además, en mi caso he tenido que crear un perfil por usuario. El motivo ha
sido las graciosas impresoras "Impresora tal creada por la sesión de usuario"
es decir, las impresoras que crea el cliente en el servidor cuando está
activada la casilla de "Conectar las impresoras de usuario" en el cliente de
escritorio remoto. Me aparecían muchos problemas relacionados con esto.

Esto lo he solucionado añadiendo todas las impresoras del dominio al
servidor, asignando a cada usuario en su perfil obligatorio su impresora
predeterminada (así como las que puede usar) y desactivando la casilla de
"Conectar impresoras del usuario".

Esto lo he complementado con la política de seguridad de TS, eliminando
opciones como apagar, ejecutar, etc

Después de estudiar muchas opciones, (y aunque me recomendaron no
implementar esta solución) el funcionamiento del servidor de TS ha mejorado
considerablemente.

Espero que te sirva de ayuda y no levantar carcajadas al comentar mi
solución tipo "Matar moscas a cañonazos".

Un saludo.
"Sergio G." wrote:

Muchas Gracias, lo estudio ...


"Javier Inglés [MS MVP]" escribió en el mensaje
news:
> la GPO no debe ser la local si estás en un dominio, si no que deberías
> tener el server de TS en una OU dedicada para él, y sobre esa OU
> configurar todas las restricciones necesarias por GPO que consideres.
>
> A parte, en esa GPO activa el Loopback Processing:
>
> Loopback Processing of Group Policy
>
> http://support.microsoft.com/defaul...ct=win2000
>
>
>
> How to Apply Group Policy Objects to Terminal Services Servers
>
> http://support.microsoft.com/defaul...-US;260370
>
>
> Salu2!!
> Javier Inglés
> https://mvp.support.microsoft.com/p...B5567431B0
> MS MVP, Windows Server-Directory Services
>
>
>
> "Sergio G." escribió en el mensaje
> news:%
>> Hola,
>>
>> resulta que estoy montando un servidor w2003 con rol de terminal
>> services.
>>
>> Y quiero publicar tanto una aplicacion corporativa como herramientas
>> ofimaticas,
>>
>> pero bueno, el tema es que quiero dejar el TS como una patena de tal modo
>> que los
>> terminal users solo puedan abrir dichas aplicaciones y operar con
>> archivos situados en unidades de red. Es decir, que no puedan hacer nada
>> mas, ni menu inicio (bueno solo para desconectar sesion ;D) , ni
>> modificar escritorio, etc etc.
>>
>> entonces , primero pense modificar la GP del equipo local (gpedit.msc)
>> pero el tema que tambien me la aplicaba a administradores (y estos quiero
>> si puedan funcionar normal). Igual hay alguna manera de que no se aplique
>> a administradores?????????
>> esa seria una solucion supongo.
>>
>> Y despues pense crear una UO, meter dentro ese servidor, y crearle una
>> GPO (mediante GPMC), quitarle herencia, forzarle, bueno, aqui ando un
>> poco mas pez, el caso es que no hacia na!
>>
>>
>> Bueno, seguro este tema tiene una resolucion ya mas que conocida, perdon
>> por mi ignorancia.
>>
>> y gracias de antemano.
>>
>>
>>
>
>



email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaRespuesta Tengo una respuesta
Search Busqueda sugerida